• home > theory > CST > Constitution >

    理清用户组概念及文件权限—搞懂网站权限设置及权限计算

    Author:zhoulujun Date:

    用户与群组的功能可是相当健全而好用的一个安全防护,操作系统对文件权限的管理,其复杂程度上远远超出我们的想象。经典的三位数字权限,根本就不是判断权限的可靠理由

    关于用户,用户组,角色和权限

    用户组:比如 现在有4组,把一些功能赋给组

    • 第1组 可以删除

    • 第2组 可以查看

    • 第3组 可以编辑

    • 第4组 可以新增

    当某一角色  比如管理员 普通管理员就是2个角色  分别属于不同的用户组 那么他实现的功能就不一样了

    从而实现控制

    • 一个用户组可以有多种权限 设置好知道 在把角色添加进去就可以了

    • 一个用户的角色和权限来自两部分,一部分继承于所有父用户组的角色和权限,另一部分来自特别为其分配的角色和权限

    管理员可以做任何事情, 不受任何约束

    用户的管理方法,在设计时采取“用户——角色——许可”三级,这是WINDOWS操作系统的用户管理方法。一个用户可以有多个角色,一个角色也可以有多个许可。

    所以有数据库设计时分别设计:

      用户表:设UserID、用户名、用户信息

      角色表:设RoleID、CategoryID、RoleName、Description

      用户角色表:UserID、RoleID

      

      分类表:CategoryID、CategoryName、Description

      许可表:PermissionID、CategoryID、PermissionName、Description

      角色许可表:RoleID、PermissionID

      

    设计好数据库后,即可以从事设计用户、角色、许可的类。类库分数据层类,完成建立、查询、删除、更新等操作。业务层的类,需要实现与数据无关功能,建立如用户拥有角色、许可的列表,验证方式等。

    在Linux里面,任何一个文件都具有『User, Group及Others』三种身份的个别权限, 我们可以将上面的说明以底下的图示来解释:

    0210filepermission_1.jpg

    我们以王三毛为例,王三毛这个『文件』的拥有者为王三毛,他属于王大毛这个群组, 而张小猪相对于王三毛,则只是一个『其他人(others)』而已。


    不过,这里有个特殊的人物要来介绍的,那就是『万能的天神』!这个天神具有无限的神力, 所以他可以到达任何他想要去的地方,呵呵!那个人在Linux系统中的身份代号是『 root 』啦!所以要小心喔!那个root可是『万能的天神』喔!


    linux中权限(-rwxrwxrwx=777)

    当你在linux下用命令ll 或者ls -la的时候会看到这些字眼,这些字眼表示为不同用户组的权限:

    r:read就是读权限 --数字4表示

    w:write就是写权限 --数字2表示

    x:excute就是执行权限 --数字1表示


    读、写、运行三项权限可以用数字表示,就是r=4,w=2,x=1。

    这个我之前也有疑问,为什么读是4而写2,执行是1,为什么这样安排?(不明白点击查看)

    数字设置权限就是 -_ _ _ _ _ _ _ _ _-,分别为

    0210filepermission_3.gif

    所以,-rw-r--r--用数字表示成644,比如用FileZilla设置权限,

    Screen Shot 2018-03-20 at 17.56.05.png

    以上的其他用户,不包括root这个super user。

    文件各权限的作用

    1、目录

      a、进入目录,即cd命令,所需要的权限为执行权限(x)

      b、查看目录内的文件,即ls命令,需要的权限为读取权限(r)

      c、创建删除目录内的文件夹/文件,即mkdir/touch命名,需要的权限为写如权限(w)

    顺便说下目录只影响下一级的,隔代不影响,好比一个目录abc/sub/,如果abc没有w权限,但sub有w权限,则可以在sub中创建文件,当然abc也需要有x权限,否则都进不去更不用说创建了,但只要能进去(可以通过切换root管理员的方法),就不会再受abc的影响,只会受sub的影响。

    一般我们目录会给5(rx)的权限,也就是读取和执行权限,只有图片上传或缓存等目录需要创建的才会给7(rwx)的权限

    2、文件

      a、文件打开,可以用cat/vim命令打开,所需权限为读取权限(r)

      b、文件修改,可以用cat/vim命令打开并保存,所需权限为写入权限(w)

      c、文件执行,可以直接./abc.out等执行,所需要权限为执行权限(x)


    这里需要说明的的是php(或者shell等)无论是命令行执行还是web端执行,名为执行,实际上是读取文件到php内核中取解析,所以只要有读取权限(r)就可以。

    一般我们文件会给4(r)权限,也就是读取权限,只有日志、缓存等需要向文件中写入内容的才会给6(rx)权限

    之所以上方没有说755,777、644权限,而仅仅是是说单个的权限,是因为你的网站目录所属的权限不能确保与执行时所用的用户什么关系,也就是说执行时的用户可能是owner、可能是group也可能是other

    权限的位运算

    先复习一下位运算

    运算符用法描述
    按位与(AND)a & b对于每一个比特位,只有两个操作数相应的比特位都是1时,结果才为1,否则为0
    按位或(OR)a | b对于每一个比特位,当两个操作数相应的比特位至少有一个1时,结果为1,否则为0
    按位异或(XOR)a ^ b对于每一个比特位,当两个操作数相应的比特位有且只有一个1时,结果为1,否则为0
    按位非(NOT)~ a反转操作数的比特位,即0变成1,1变成0
    左移(Left shift)a << b将 a 的二进制形式向左移 b (< 32) 比特位,右边用0填充
    有符号右移a >> b将 a 的二进制表示向右移 b (< 32) 位,丢弃被移出的位
    无符号右移a >>> b将 a 的二进制表示向右移 b (< 32) 位,丢弃被移出的位,并使用 0 在左侧填充

    位运算在权限系统中的使用

    假设定义两个前提:

    • 要求每种权限码都是唯一的

    • 要求每个权限码的二进制数形式,有且只有一位值为1,其余全部为0(2^n)

    再仔细观察上面的例子,会发现,| 可以看做赋值操作,而 & 则可以用来校验。下面用 linux 中的实例讲解下,linux 的文件权限分为读、写和执行,有字母和数字等多种表现形式:

    权限字母表示数字表示二进制
    r40b100
    w20b010
    执行x10b001

    可以看到,权限用 1、2、4(也就是 2^n)表示,切换为二进制后,都是只有一位是 1,其余为 0。我们通过几个例子看下,如果利用二进制的特点执行权限的添加,校验和删除。

    添加权限

    //     r = 0b100
    //     w = 0b010
    //     r = 0b001
    // r|w|x = 0b111
    let r = 0b100
    let w = 0b010
    let x = 0b001
    // 给用户赋全部权限(使用前面讲的 | 操作)
    let user = r | w | x
    console.log(user) // 7

    可以看到,执行 r | w | x 后,user 的三位都是 1,表明拥有了全部三个权限。

    linux 下出现权限问题时,最粗暴的解决方案就是 chmod 777 xxx,这里的 7 就代表了:可读,可写,可执行。而三个 7 分别代表:文件所有者,文件所有者所在组,所有其他用户。

    校验权限

    通过 用户权限 & 权限 code === 权限 code 就可以判断出用户是否拥有该权限。

     r = 0b100
    let w = 0b010
    let x = 0b001
     
    // 给用户赋 r w 两个权限
    let user = r | w
    // user = 6
    // user = 0b110 (二进制)
     
    console.log((user & r) === r) // true  有 r 权限
    console.log((user & w) === w) // true  有 w 权限
    console.log((user & x) === x) // false 没有 x 权限

    我们讲了用 | 赋予权限,使用 & 判断权限,那么删除权限呢?删除权限的本质其实是将指定位置上的 1 重置为 0。上个例子里用户权限是 0b110,拥有读和写两个权限,现在想删除读的权限,本质上就是将第三位的 1 重置为 0,变为 0b010:

    删除权限

    那么具体怎么操作呢?其实有两种方案,最简单的就是异或 ^,按照上文的介绍“当两个操作数相应的比特位有且只有一个1时,结果为1,否则为0”,所以异或其实是 toggle 操作,无则增,有则减

    那么如果单纯的想删除权限(而不是有增,无减)怎么办呢?执行 &(~code),先取反,再执行或操作:

    let r    = 0b100
    let w    = 0b010
    let x    = 0b001
    let user = 0b110 // 有 r w 两个权限
     
    // 删除 r 权限
    user = user & (~r)

    这种权限设计,简化了操作。

    shell命令查看与修改文件权限

    查看文件权限命令简单 ls -l  

    修改文件权限命令  chmod -R   (权限)(目录) ——修改文件夹内所有的文件和文件夹及子文件夹属性为可写可读可执行

    比如 chmod -R 744 zhoulujun/

    php执行时的权限

    我们自己在ssh连接linux操作时必须要有个用户名才能登录操作,同样php要想处理php相关的文件,也是在某个用户下操作的,而用户是在哪里创建或定义的呢,一般会是在安装php环境时创建的,例如apache,nginx等环境都会默认创建用户和用户组,而php的读取时就用此用户来读取。

    所以网站php文件 要设置 754,html文件,设置744即可。

    事实上对于用户程序来说,一个文件能否读/写/执行,根本就不能提前判定。我们编程时唯一的办法就是“试一试”——不做任何提前判断,直接把操作执行出去,出错了再说。


    而此时如果判执行权限,那就非常危险了:php解释器尝试执行,如果成功了,那么执行此文件的行为就必然会发生,不可避免。这就意味着php解释器可以执行任何有执行权的文件,哪怕不是php代码也没关系。


    这样在系统被黑,存在未知文件植入的情况下,我们就将失去php解释器的最后一层保护,黑客可以通过php解释器,任意执行任何语言编写的一切恶意程序。其后果将是毁灭性的。


    所以“调用php命令来执行脚本时只需读取权限”,这个是当然的,也是必须的。


    简而言之:任何语言的解释器,都只要求操作系统尝试读取代码文件,得到代码文本。解释器在得到代码文本之后,会自行负责后续的工作,无需操作系统染指。解释器和代码的关系,犹如编辑器和文稿文件的关系。解释器绝对不会委托操作系统去执行任意文件。


    java也是这样的。一切解释型语言的解释器都是这样的,没有任何例外——过去没有,现在也没有,将来更不可能有。


    chown将指定文件的拥有者改为指定的用户或组,用户可以是用户名或者用户ID;组可以是组名或者组ID;文件是以空格分开的要改变权限的文件列表,支持通配符。

    chown 修改文件和文件夹的用户和用户组属性

    chown -R nginx:nginx /home/wwwroot/*


    参考文章:

    JavaScript 中的位运算和权限设计

    linux中权限(-rwxrwxrwx=777

    理清PHP在Linxu下执行时的文件权限方法

    关于用户,用户组,角色和权限

    第六章、Linux 的文件权限与目录配置

    linux权限课程:http://www.imooc.com/learn/481 



    转载本站文章《理清用户组概念及文件权限—搞懂网站权限设置及权限计算》,
    请注明出处:https://www.zhoulujun.cn/html/theory/ComputerScienceTechnology/Constitution/2018_0320_8090.html